Bonjour, Il me semble que c'est ce que BeyondTrust/CyberArk etc proposent dans leurs arsenal de solutions, permettre à un compte limité de temporairement démarrer un processus avec des privilèges plus élevés.
Il ne faut pas utiliser de compte administrateurs sur les postes clients car on ne sait pas s'ils sont compromis. (voir mimikatz etc) Jules Le mercredi 10 mai 2023 à 07:06 +0000, Jérôme Quintard a écrit : > Bonjour à tous, > > Sujet complètement hors réseau, et beaucoup plus orienté système mais > qui fait echo à vos environnements SSI. > > Est-ce que certains parmi vous ont une solution miracle pour > autoriser temporairement les accès à certaines applications > principalement Windows (mais pas que...) du genre powershell, line de > commande, accès au disque C, etc. via validation d'un OTP/MFA > quelconque ? > > De manière traditionnelle on bloque ces accès par GPO mais les IT > sont dans la majorité des cas, les premiers impactés par ces > contraintes... l'idée serait d'avoir une surcouche qui limite ces > accès et demande un OTP limité dans le temps pour y accéder... un peu > à la manière de bitlocker pour accéder à un périphérique protégé. > > Au delà, de ces accès je cherche une solution pour renforcer l'usage > du mot de passe sur les postes utilisateurs... il n'est pas rare > qu'UAC demande une élévation, je trouve toujours délicat de le faire > avec l'utilisateur à ses côtés... comment ça se passe chez vous ? > > Jerome > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
